Il presente approfondimento rielabora i contenuti del documento di Antonio Terracina, “La UNI EN ISO 45001:23 e l’art. 30 del d.lgs. 81/08 – Tra rischi per la salute e sicurezza sul lavoro e rischi organizzativi e gestionali”, INAIL, 2026, con l’obiettivo di chiarire come la UNI EN ISO 45001:2023 si inserisca oggi nel sistema di prevenzione dei reati colposi in materia di salute e sicurezza sul lavoro e, soprattutto, nella prevenzione della cosiddetta “colpa in organizzazione” ai sensi del d.lgs. 231/01.

Dal 2007, infatti, i reati di omicidio colposo e lesioni gravi o gravissime commessi con violazione delle norme sulla sicurezza sul lavoro rientrano tra i reati presupposto della responsabilità amministrativa degli enti. Il d.lgs. 231/01 prevede che l’ente possa essere esonerato da tale responsabilità solo se dimostra di aver adottato e attuato efficacemente un modello organizzativo idoneo a prevenire “i reati della specie di quello verificatosi”. È in questo quadro che l’art. 30 del d.lgs. 81/08 definisce i requisiti del MOG-SSL, collegandolo in modo strutturale ai Sistemi di Gestione della SSL.

Dal DVR al MOG-SSL: un salto di prospettiva

Per molti anni, la presunzione di conformità ai requisiti dell’art. 30 è stata riconosciuta ai modelli costruiti secondo le Linee guida UNI-INAIL del 2001 e la OHSAS 18001:2007. Tuttavia, la OHSAS è stata ritirata nel 2021 e le Linee guida UNI-INAIL rispecchiano un contesto tecnico e culturale ormai superato.

La svolta arriva con il d.l. 159/2025, che aggiorna l’art. 30 sostituendo il riferimento alla OHSAS con la UNI EN ISO 45001:2023+A1:2024. La modifica non solo allinea la norma cogente alla realtà del mercato, ma attribuisce alla 45001 un ruolo giuridico esplicito nella costruzione del MOG-SSL.

Questo passaggio è significativo perché chiarisce che il MOG-SSL non può limitarsi a riprodurre il contenuto del DVR. Il DVR analizza i rischi tecnici per i lavoratori; il MOG deve invece intercettare i rischi che riguardano il funzionamento dell’organizzazione e la qualità dei processi decisionali.

La giurisprudenza: la centralità dei rischi organizzativi e gestionali

Le sentenze richiamate nel documento INAIL chiariscono con precisione la natura dei rischi rilevanti ai fini della responsabilità 231.

La sentenza Tribunale di Trani, sez. di Molfetta, del 26.10.2009distingue nettamente tra DVR e MOG-SSL: il primo è rivolto ai lavoratori e descrive i rischi operativi, mentre il secondo deve rivolgersi «a coloro che… sono esposti al rischio di commettere reati colposi», individuando gli standard decisionali e gestionali che guidano l’organizzazione. Il giudice osserva che «l’attenzione viene spostata anche ai rischi del processo decisionale finalizzato alla prevenzione», introducendo un concetto che diventerà centrale negli anni successivi.

La Cassazione penale, con la sentenza n. 28557/2016, definisce in modo ancora più netto la “colpa in organizzazione”, descrivendola come il rimprovero derivante dalla mancata adozione delle «cautele organizzative e gestionali necessarie a prevenire la commissione dei reati». È un passaggio chiave: ciò che viene contestato all’ente non è la mancata adozione di una misura tecnica, ma l’incapacità di strutturare processi decisionali, ruoli, responsabilità e controlli in modo da prevenire l’errore umano e gestionale che può condurre all’evento lesivo.

In altre parole, i rischi realmente rilevanti ai fini della responsabilità 231 sono i rischi organizzativi e gestionali, non quelli tecnici già trattati nel DVR.

La distinzione tra rischi tecnici e rischi organizzativi

Il documento distingue due categorie:

1. Rischi per la salute e sicurezza sul lavoro, tipici del DVR.
2. Rischi organizzativi e gestionali, che costituiscono la causa radice della colpa in organizzazione.

Il DVR raramente include questi ultimi, perché il suo scopo è descrivere i pericoli e le misure di prevenzione e protezione operative. L’art. 30, invece, richiede un modello che assicuri l’adempimento di “tutti gli obblighi giuridici”, compresi quelli relativi alla struttura organizzativa, ai processi decisionali, alla vigilanza e al controllo. È qui che la UNI EN ISO 45001:2023 assume un ruolo determinante.
 

La UNI EN ISO 45001:2023 come strumento per gestire i rischi organizzativi

La norma introduce un approccio basato sul risk-based thinking, distinguendo tra:

Rischi per la SSL (punto 3.21)

Definiti come «combinazione della probabilità che uno o più eventi pericolosi… si verifichino e della severità delle lesioni».

Rischi come effetto dell’incertezza (punto 3.20)

Mutuati dalla UNI ISO 31000:2018, includono:

• carenze di leadership,
• mancata conformità normativa,
• debole integrazione della SSL nei processi decisionali,
• fragilità dei processi di controllo.

La UNI ISO 45002:2023 chiarisce che tali rischi sono «correlati a potenziali carenze organizzative, manageriali o gestionali», avvicinandoli direttamente alla nozione di colpa in organizzazione.

La 45001, dunque, non è solo una norma tecnica: è un modello di governance che permette di identificare e gestire i rischi che la giurisprudenza considera determinanti ai fini della responsabilità 231.

SGSL e MOG-SSL: una convergenza naturale

La formalizzazione della UNI EN ISO 45001:2023 nell’art. 30 del d.lgs. 81/08 rappresenta la conclusione di un percorso culturale iniziato con la direttiva europea 89/391/CEE, che ha introdotto un approccio organizzativo alla sicurezza.

Il SGSL conforme alla 45001 è oggi il riferimento più completo per costruire un MOG-SSL realmente idoneo, perché integra:

• ruoli e responsabilità,
• leadership,
• controllo operativo,
• monitoraggio,
• gestione dei rischi organizzativi.

L’INAIL conferma inoltre l’efficacia dei SGSL: le aziende certificate presentano un indice di frequenza infortunistica inferiore del 22% e un indice di gravità ridotto del 29%.

Per concludere, la UNI EN ISO 45001:2023 non è solo un aggiornamento tecnico, ma un elemento essenziale per prevenire la colpa in organizzazione e costruire un MOG-SSL conforme all’art. 30 del d.lgs. 81/08. La sua integrazione nel quadro normativo rafforza l’idea che la sicurezza dipenda non solo da misure tecniche, ma dalla capacità dell’organizzazione di assumere decisioni corrette, strutturate e controllate.